Un progetto globale, che valuti in toto le problematiche legate alla protezione delle varie aree di attività dell’impresa (e quindi non solo l’Ict), è il primo compito che deve assolvere un security manager. E le regole devono essere seguite da tutti, a partire dai vertici.
L’approccio alla sicurezza in azienda deve essere trasversale e coinvolgere tutti i processi, non solo quelli che riguardano l’Ict. Deve, quindi, prendere in considerazione 4 componenti: tecnologia, policy, struttura e comportamento. Questi quattro punti devono essere visti come 4 contenitori collegati da vasi comunicanti, per cui se perde uno anche gli altri ne sono coinvolti, e quindi la sicurezza non è più garantita. Su queste premesse di base si è sviluppato l’intervento di Claudio Pantaleo, direttore della sicurezza aziendale in Ibm, che ha esposto le sue esperienze in merito. Alla base di tutto, secondo il manager, bisogna iniziare a creare all’interno dell’azienda, dal top management in giù, la consapevolezza di dover seguire la politica definita dal responsabile della sicurezza e dal suo staff. Perché le minacce non riguardano solo le attività relative al centro It, ma anche tutte quelle associate all’uso dei pc dei vari dipendenti, che ricevono costantemente e-mail: da un lato i virus sono sempre in agguato, e un domani potrebbero attaccare anche i cellulari e il wireless, dall’altro ci sono persone che, con mezzi subdoli, cercano di carpire informazioni all’ignaro dipendente, approcciandolo, per esempio, con un banale questionario.
La capacità di saper ascoltare
Il ruolo del responsabile della sicurezza è anche quello di saper ascoltare, di capire e conoscere le persone che lavorano all’interno, perché da conversazioni che possono sembrare banali spesso emergono informazioni utili che portano a identificare possibili vulnerabilità. Sapere, conoscere, prevenire e anticipare sono, in sintesi, gli approcci che Pantaleo consiglia al responsabile della sicurezza, il quale, inoltre, deve essere anche in grado di recuperare eventuali situazioni di disagio che si possono creare e gestire la continuità dell’attività aziendale. Infatti, assieme al top management deve anche prendere in considerazione la necessità di garantire la business continuity (più che mai di attualità in questi periodi di crisi energetica) che va applicata in modo profondo all’interno dell’intera organizzazione e ai processi dell’impresa. La sicurezza, raccomanda Pantaleo, non si deve affrontare con un approccio fatto di "rattoppi" qua e là, ma deve permeare con un progetto globale tutta l’azienda, perché, va ricordato, è un’area che ha coinvolgimenti sia di natura culturale che organizzativa, dal momento che l’obiettivo finale è quello di ridurre le opportunità da parte di criminali di fare danni. Bisogna, infatti, individuare situazioni di allarme (early warning) prima che i crimini vengano commessi. Le aziende oggi operano in uno scenario in costante evoluzione e trasformazione, caratterizzato da un accentuato dinamismo economico-competitivo e socio-politico, per cui le complessità sono crescenti e la necessità di operare con un approccio di azienda estesa avviato da Internet rende più facilmente attaccabile anche l’area dell’It, dove risiedono i dati critici. Oggi più che mai le imprese hanno bisogno che qualcuno provveda a proteggerle, perché nel mercato globale in cui operano, sono sparite le difese: la criminalità globalizzata è, infatti, l’altra faccia dell’economia legale.
Secondo quanto consigliato da Pantaleo, il professionista della sicurezza deve necessariamente avere dei poteri, per svolgere al meglio il proprio lavoro, come la facoltà di nomina, delega e procura aziendale, disporre di una struttura centrale e trasversale nel gruppo e avvalersi di norme e istituzioni specifiche. Può, inoltre, attingere a manuali di riferimento, istruzioni di sicurezza Ict, istruzioni legali e via dicendo. Peraltro, in base alla propria esperienza, Pantaleo ha osservato che per diventare security manager non sempre è necessario fare corsi ad hoc o certificarsi, ma può essere utile aver svolto mansioni che gli abbiano consentito di conoscere le persone, di maturare skill e competenze in vari settori. Infine, il security manager deve essere il primo a dare l’esempio e a rispettare le regole, ma deve ottenere lo stesso risultato anche dal top management.
